Автоматизация процесса управления уязвимостями в Национальном расчетном депозитарии (НКО АО НРД) с помощью продукта R-Vision IRP

Заказчик
Национальный расчетный депозитарий
Руководитель проекта со стороны заказчика
ИТ-поставщик
R-Vision
Год завершения проекта
2021
Сроки выполнения проекта
Декабрь, 2020 - Сентябрь, 2021
Масштаб проекта
100 автоматизированных рабочих мест
Цели

Ключевые цели проекта:

  • автоматизировать процесс работы с уязвимостями;
  • достичь прозрачности в процессе выявления, обработки, расследования и устранения уязвимостей;
  • сократить и оптимизировать трудозатраты сотрудников управления информационной безопасности НРД на обработку результатов сканирования, а также контроль за реализацией необходимых мер по устранению уязвимостей смежными подразделениями;
  • обогатить существующую в Service Desk информацию об ИТ-активах сведениями из используемых в НРД ИБ-системах для повышения общего уровня защищенности Компании;
  • существенно упростить предоставление отчетности по выявленным и устраненным уязвимостям.

Уникальность проекта

Уникальность проекта заключается в результатах, полученных от внедрения R-Vision IRP. 1.Ускорили в 4 раза процесс приоритизации и связи выявленных уязвимостей с критичными активами компании, а также процесс инициирования работ по устранению уязвимостей; 2. Полностью устранили ручную обработку результатов сканирования объектов сети, аллокацию уязвимости на конкретную единицу инфраструктуры и перепроверку результатов работы ИТ-управления по устранению уязвимостей; 3. Высвободили ресурсы сотрудников ИБ-управления за счет автоматизации рутинных процессов, автоматической генерации отчетности и детализации по устранению уязвимостей; 4. Использовали уникальную технологию приоритизации уязвимостей R-Vision, которая выставляет рейтинг каждой уязвимости, используя не только CVSS score, но и полезную информацию о критичности активов и доп. параметров, которые ведутся в базе активов. Такой рейтинг уязвимостей наиболее релевантно отражает критичность всех уязвимостей в инфраструктуре.
Использованное ПО
R-Vision Incident Response Platform – платформа класса SOAR, которая агрегирует данные об инцидентах информационной безопасности из множества источников, обеспечивает координацию работы команды SOC и автоматизирует процедуры реагирования.

Сложность реализации

Изначально, бизнес-процессы НРД были выстроены на высоком уровне и работали очень слаженно. В связи с этим перед исполнителем возникла необходимость осуществить интеграцию продукта R-Vision IRP в существующие процессы, не только не нарушив их, но еще и усовершенствовав. Ситуация усложнялась тем, что внедрение продукта происходило на живых данных заказчика.

Дополнительной трудностью проекта стал тот факт, что реализация находилась на стыке зон ответственности ИБ и ИТ подразделений, и как следствие, затрагивала интересы обоих управлений. Таким образом, стояла задача сохранить первоначально разработанный концепт и сделать его максимально эффективным и удобным для обоих управлений.

Описание проекта

Несмотря на то, что проект официально стартовал в декабре 2020 года, нам хочется начать его описание с этапа пилотирования продукта.

В октябре 2020 года началось пилотное внедрение продукта R-Vision IRP в инфраструктуре заказчика. Уже на этапе пилота решение R-Vision продемонстрировало свою эффективность в решении поставленных задач. Так, высокие результаты пилотирования стали не только обоснованием для выбора R-Vision IRP в качестве продукта для внедрения, но и собранная в процессе пилотирования статистика по уязвимостям и сгенерированные при помощи конструктора документальные отчеты уже стали использоваться в качестве отчетности для высшего руководства.

Далее в декабре 2020 года проект официально стартовал и на протяжении 10 месяцев происходили работы по установке, настройке и интеграции R-Vision IRP с существующими ИБ и ИТ системами заказчика. В рамках этого этапа осуществили подключение к следующим источникам данных, а также выстроили взаимодействие в Service Desk системой.

В результате интеграций с этими системами удалось реализовать единый унифицированный процесс, который контролируется из интерфейса одного решения – R-Vision IRP. Таким образом, у пользователей пропала необходимость мониторинга консолей управления более чем 5 разных продуктов. Особенно важно, что через интерфейс IRP системы можно легко управлять нарядами в Service Desk системе, в которой работают ИТ-коллеги. Интеграционные возможности платформы R-Vision IRP позволили убрать всю рутину, связанную с необходимостью дублировать в соседней системе информацию, адаптируя ее под особенности процесс работы с заявками в ИТ-подразделении.

Также на базе R-Vision IRP была реализована требуемая Заказчиком ролевая модель, чтобы коллеги из разных подразделений работали только с необходимой в рамках их обязанностей информацией.



География проекта
Реализация проекта происходила в г. Москва, однако проект затронул всю инфраструктуру организации, это более 4 000 серверов, использующих различное программное обеспечение и операционные системы, а также 2 000 рабочих станций пользователей организации.

Коментарии: 2
  • Альберт Баязитов
    Рейтинг: 5
    ООО Пазл Системс
    Директор
    21.12.2021 21:55

    Доброго дня.
    На чем был реализован функционал управления уязвимостей и как его интегрировали в IRP систему? Насколько вообще трудозатратно управление уязвимостями и работа со сканером на таком объеме инфраструктуры? И какие были сложности в части данной интеграции?
    Есть ли в планах или существует ли на текущий момент управления инцидентами ИБ с интеграцией в IRP системой?

    • Андрей Мигаленко Альберт
      Рейтинг: 67
      Небанковская кредитная организация акционерное общество «Национальный расчетный депозитарий»
      Начальник отдела технической защиты информации
      24.12.2021 10:07

      Приветствую.

      На этапе внедрения системы и разработки функционала, была реализована связка из сканнера уязвимостей MaxPatrol8->R-Vision IRP-> Тикетинг системы Omnitracker. Интеграция производилась с использованием как стандартного функционала, так и скриптов автоматизации по парсингу уязвимостей, программного обеспечения и конкретного хоста. В последствии продукт MaxPatrol8 был заменен на Rapid7 Nexpose.
      Основной целью организации проекта и разработкой полного цикла автоматизации как раз и было снижение нагрузки на персонал как офицеров безопасности так и Администраторов ИТ. После успешной реализации проекта, трудозатраты на обработку свелись к нулю.
      Основными сложностями на проекте было автоматизировать именно метчинг уязвимостей на конкретное программное обеспечение и на конкретных хост, заведенный у ИТ подразделений в системе инвентаризации активов Omnitracker для последующего расчета трудозатрат и аллокации расходов на ту или иную информационную систему организации.
      В организации уже внедрен процесс автоматизированной регистрации событий информационной безопасности с последующим процессом расследования и квалификацией в инциденты. Процесс реализован так же на базе R-Vision IRP

Год
Предметная область
Отрасль
Управление